Categoria:Security

Sophos XG e gruppi primari in Active Directory

Come indicato nella KB 123161 Sophos Firewall: Group membership behavior with Active Directory quando un utente accede al Captive Portal al momento dell’autenticazione tramite l’account di Active Directory questo viene importato in Sophos Firewall e mappato al primo gruppo della sua lista di appartenenza. Ciò significa che se un account in Active Directory appartiene a…



Active Directory Secure Channel Deep Dive

In questi giorni ho avuto via mail alcune richieste circa il Secure Channel di Active Directory e quindi ho deciso di rispondere tramite un post riassuntivo, a beneficio quanti fossero interessati all’argomento, che comprende anche approfondimenti che avevo avuto modo di fare in passato con altri utenti del mio blog. Funzionamento del Secure Channel In…



Eseguire scansioni con VirusTotal tramite Sigcheck

Il tool Sigcheck di Mark Russinovich oltre a permettere di analizzare file per ricavare numero di versione, informazioni sul timestamp e informazioni sulla firma digitale inclusa la catena dei certificati consente anche di eseguire la scansione del file su VirusTotal. Di seguito alcuni esempi di utilizzo di Sigcheck per eseguire la scansione: Esempio1: Scansione di…



Problemi di aggiornamento con Windows Server 2008R2 e Windows 7

Sebbene questo post sia relativo a sistemi Windows Server 2008 R2 e Windows 7 in realtà lo scenario che descriverò e l’approccio per la risoluzione potrebbe essere applicabile anche ad altre versioni di Windows. Lo scenario è quello di sistemi Windows Server 2008 R2 e Windows 7 che per qualche motivo non sono stati aggiornati…



4 nuove vulnerabilità relative a Remote Desktop Services

Il 13 agosto 2019 sono state rese note 4 nuove vulnerabilità a carico dei Remote Desktop Services che consentirebbero l’esecuzione di codice remoto. Di seguito le vulnerabilità: CVE-2019-1181 | Remote Desktop Services Remote Code Execution Vulnerability CVE-2019-1182 | Remote Desktop Services Remote Code Execution Vulnerability CVE-2019-1222 | Remote Desktop Services Remote Code Execution Vulnerability CVE-2019-1226…



Vulnerabilità CVE-2019-0708 – Remote Desktop Services Remote Code Execution Vulnerability

Il 14 maggio 2019 è stata resa nota una vulnerabilità dei Remote Desktop Services che permette l’esecuzione di codice remoto denominata MITRE – CVE-2019-0708: A remote code execution vulnerability exists in Remote Desktop Services formerly known as Terminal Services when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests,…



SQL Server Ruoli applicazione e scenari di utilizzo

SQL Server consente di gestire le impostazioni di sicurezza per l’accesso al database oltre che tramite i ruoli server e i ruoli database anche tramite i ruoli applicazione che permettono ad un’applicazione di funzionare con proprie autorizzazioni consentendo l’accesso a dati specifici solo agli utenti che si collegano attraverso l’applicazione. I ruoli applicazione funzionano con…



Windows 10 e domande di sicurezza

Con la versione 1803 di Windows 10 sono state introdotte durante il setup OOBE (Out of Box Experience) le “Domande di sicurezza” per il recupero della password dell’utente creato in fase d’installazione che hanno sostituito il suggerinto della password, come indicato in OOBE screen details: “During the OOBE flow, users are prompted to either create…



Tool per l’automazione della GUI Windows e considerazioni sul loro utilizzo

Talvolta vi sono situazioni in cui sarebbe utile automatizzare una serie ripetitiva di operazioni che devono essere svolte tramite uno o più applicativi. Uno di questi scenari è sicuramente il caso dell’automazione dei test su di un softwar, ma per una trattazione di questo scenario e dei tools a disposizione si veda il post What…



Share amministrative e security best practices

Quando ci si appresta a gestire l’hardening di workstation e server una configurazione che sicuramente impone un’analisi approfondita è quella che riguarda le share amministrative ed in particolare se sia opportuno o meno disabilitarle. Infatti sebbene un approccio orientato alla massima sicurezza poterebbe a propendere per una disabilitazione delle share amministrative (DriveLetter$, ADMIN$, IPC$, NETLOGON,…